当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-03871

漏洞标题:支付宝用户大量泄漏,被用于网络营销

相关厂商:支付宝

漏洞作者: 梦想肥羊

提交时间:2011-12-28 21:42

修复时间:2012-02-11 21:42

公开时间:2012-02-11 21:42

漏洞类型:用户资料大量泄漏

危害等级:低

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2011-12-28: 细节已通知厂商并且等待厂商处理中
2011-12-29: 厂商已经确认,细节仅向厂商公开
2012-01-08: 细节向核心白帽子及相关领域专家公开
2012-01-18: 细节向普通白帽子公开
2012-01-28: 细节向实习白帽子公开
2012-02-11: 细节向公众公开

简要描述:

支付宝用户大量泄漏,被用于网络营销 泄漏总量达1500-2500W之多 泄漏时间不明,里面只有支付宝用户的账号,没有密码

详细说明:

支付宝用户大量泄漏,被用于网络营销 泄漏总量达1500-2500W之多 泄漏时间不明,里面只有支付宝用户的账号,没有密码

漏洞证明:

支付宝账号分为2种,一种是手机号一种是邮箱地址(用手机注册的用户,手机号就是账号,用邮箱注册的,邮箱就是账号)
PS:支付宝邮箱地址验证真伪方法:进入支付宝--转账--我要付款--输入邮箱地址--真实的显示注册的姓名(假的显示未激活) ————(手机号验证方法与邮箱的一样)~~



上次附带一万条供大家检验,wooyun认为不够,这次提供69W条下载~~~
大家测试下~~ 下载地址:(帮原作者隐藏)
完整的都复制到地址栏去(从http到.rar都要) ~~115网盘下载~~


修复方案:

~~我也不知道~~

版权声明:转载请注明来源 梦想肥羊@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2011-12-29 17:49

厂商回复:

支付宝用户名主要是email地址,email地址在互联网上很多方式可以收集。利用这些海量的email地址,能够在各个网站,使用公开的功能,如注册等分析是否已使用。支付宝有几亿注册用户,任何一个email是支付宝用户名都是非常可能的。支付宝采取金融级的安全标准去保护用户资金及数据安全,用户名所对应的密码和账户资金是非常安全的,请大家放心。

最新状态:

暂无

漏洞评价:

评论

  1. 2011-12-28 23:02 | ccst ( 路人 | Rank:11 漏洞数:4 | 学。。。)

    支付宝泄露,这事件就更加严重了啊!!!

  2. 2011-12-28 23:02 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    没有密码... 亲

  3. 2011-12-28 23:07 | 冰锋刺客 ( 普通白帽子 | Rank:113 漏洞数:14 | 请在监护人陪同下与本人交流)

    当当网泄露了1100万,除了用户密码,其他都全 -_-!

  4. 2011-12-28 23:33 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    我在里面么?有email么?

  5. 2011-12-29 00:35 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    纯账号,email,手机号,算不算?大量用于商业,应该就算吧。

  6. 2011-12-29 08:08 | TwoSpring ( 路人 | Rank:8 漏洞数:1 | 游走于道德与随性之间……)

    这是很久以前的事吧,卖家买家共2500W。这漏洞不是以前的么?

  7. 2011-12-29 11:24 | kimmyhou ( 路人 | Rank:8 漏洞数:1 | 学习知识!)

    早就有了,不敢拿

  8. 2011-12-29 12:20 | 梦想肥羊 ( 实习白帽子 | Rank:89 漏洞数:18 | 博客:dnswalk.blog.163.com)

    ~~怎么图这么模糊~~~ 图片大家下载后能清楚看见~~~

  9. 2011-12-29 15:21 | dengyunxuan ( 路人 | Rank:5 漏洞数:2 | 重围)

    我怎么看不到图啊 !!!

  10. 2011-12-29 15:22 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    如果这样都算的话,阿里巴巴几千万商家数据也算泄漏了?

  11. 2011-12-29 15:51 | 梦想肥羊 ( 实习白帽子 | Rank:89 漏洞数:18 | 博客:dnswalk.blog.163.com)

    ……支付宝好回复……“支付宝用户相账户是可以被搜集到的……”(是啊,但是哪位兄弟去搜集了上千万的……)虽然我报告的是你家用户的账号泄露,没有密码……但你别忘了……你家的账户号不是用户的手机号就是用户的邮箱……通过帐号可以查到用户的真实姓名…………这用于网络营销,推广,甚至诈骗……

  12. 2011-12-29 16:25 | SGKer ( 路人 | Rank:4 漏洞数:1 | 乌拉轼)

    介个 要被官方忽视了吗? - - !!

  13. 2011-12-29 16:28 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    内部公关中吧

  14. 2011-12-29 18:05 | 梦想肥羊 ( 实习白帽子 | Rank:89 漏洞数:18 | 博客:dnswalk.blog.163.com)

    好吧,xrrer说对了……内部公关成功……腾讯新闻中有这么一段“有知情人士指出,此次邮箱泄露并非从支付宝这边出去,是有人从网上各个地方搜集到的,然后挨个去试,有些试出来可能是支付宝的账号,由于是搜集的,所以只有支付宝帐号,没有其他任何信息”…………那些人太厉害了……过滤出了上千万的支付宝邮箱……

  15. 2011-12-29 23:30 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    当然有方法能够获取阿里巴巴商家,个人用户的详细信息了?姓名,联系号码,地址等等..公关没用的。

  16. 2012-01-18 08:52 | El4pse ( 路人 | Rank:29 漏洞数:7 | 世界上从来没有不可能这几个字,可不可能完...)

    商业数据。。

  17. 2012-01-18 12:40 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    真正的有心人,随便开几台服务器,花了一两天,就可以采集XXXX万的数据。你懂的

  18. 2012-01-20 16:16 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    采集的数据,分类比较难,估计还是泄露;不过怕把问题搞大,就弄部分账号出来

  19. 2012-08-23 14:02 | Vty ( 普通白帽子 | Rank:199 漏洞数:37 )

    @冰锋刺客 在那里啊,亲

  20. 2012-08-31 19:37 | 豆芽 ( 路人 | Rank:0 漏洞数:1 | 修行中)

    @冰锋刺客 幸好没泄露密码!